Technologie rozpoznawania twarzy stają się coraz bardziej popularnym, chwalonym za wygodę zamiennikiem haseł. Niestety cyberprzestępcy potrafią już kraść dane biometryczne i wykorzystywać sztuczną inteligencję do tworzenia materiałów typu deep fake, aby logować się do naszych kont. Co to oznacza dla konsumentów i firm? Jak się chronić?
Od kiedy technologiczni giganci, tacy jak np. Apple, spopularyzowali uwierzytelniającą technologię Face ID, której zasadniczo nie można oszukać statycznymi zdjęciami i która szyfruje dane twarzy użytkowników, obawy dotyczące bezpieczeństwa zmalały do tego stopnia, że obecnie nawet niektóre banki używają systemów rozpoznawania twarzy jako formy autoryzacji.
– Nie powinniśmy jednak ulegać złudnemu poczuciu bezpieczeństwa. Rozwój metod cyberprzestępców biegnie równolegle do powstawania nowych metod zabezpieczających. Jak pokazuje najnowszy Raport ESET, cyberprzestępcy potrafią już podszywać się pod nasze twarze. Korzystając ze sztucznej inteligencji, są w stanie na potrzeby zalogowania się zastąpić w aplikacji własną twarz, twarzą swojej ofiary – ostrzega Kamil Sadkowski, analityk laboratorium antywirusowego ESET i dodaje – Dlatego właśnie najsilniejsza ochrona polega na wykorzystaniu kombinacji kilku zabezpieczeń, tj. uwierzytelnienia wieloskładnikowego.
Na skróty:
Łatwo nie znaczy skutecznie
Zabezpieczenia biometryczne zyskały popularność zarówno wśród konsumentów, jak i firm, głównie ze względu na łatwość użytkowania. W 2023 roku metody uwierzytelnienia biometrycznego takie jak skanowanie odcisku palca czy twarzy, były najchętniej wybierane przez użytkowników kont online, aplikacji i urządzeń inteligentnych. Stosowało je 27% respondentów z różnych krajów[1].
Inne badanie z 2023 roku wykazało, że niemal 60% specjalistów IT i cyberbezpieczeństwa w Stanach Zjednoczonych wymieniło biometrię jako jedną z metod, którą mogliby zastąpić hasła w swoim miejscu pracy[2].
Zapotrzebowanie na tego rodzaju usługi jest też widoczne na rynku. W 2022 roku rynek usług rozpoznawania twarzy został oszacowany na około 5 miliardów dolarów i przewiduje się, że będzie rósł, osiągając 19,3 miliarda dolarów do 2032 roku[3].
Kradzież danych biometrycznych
Niektóre aplikacje finansowe wymagają do bezpiecznego logowania, aby użytkownicy, za pomocą przedniej kamery urządzenia mobilnego, zeskanowali swoją twarz pod różnymi kątami. Jednak to, co miało być dodatkowym zabezpieczeniem przed kradzieżą tożsamości, stało się ostatnio kolejną furtką dla cyberprzestępców.
Dział Threat Intelligence firmy Group-IB odkrył nieznanego wcześniej wirusa (trojan GoldPickaxe.iOS) dla systemu iOS, który imituje legalne tajskie aplikacje rządowe. Te złośliwe aplikacje zbierają dokumenty tożsamości, SMS-y i dane rozpoznawania twarzy.
Wersja wirusa atakująca urządzenia z systemem Android jest dystrybuowana za pośrednictwem stron internetowych podszywających się pod oficjalny sklep Google Play. Aby rozpowszechniać wersję dla iOS, cyberprzestępcy stosują wieloetapowy schemat socjotechniczny, w którym przekonują ofiarę do zainstalowania tzw. profilu MDM, do zarządzania urządzeniami mobilnymi (profil MDM – ang. Mobile Device Management, służy do zarządzania urządzeniami mobilnymi, wykorzystywanymi przez użytkowników i bywa stosowany przez organizacje do monitorowania aktywności i ustawień pracowników). To pozwala im przejąć kontrolę nad urządzeniem ofiary.
Jakiś czas temu przestępcy podszywali się też pod urzędników z tajskiego Ministerstwa Finansów, zwracając się do obywateli z informacją, że ich starsi krewni kwalifikują się do dodatkowych świadczeń emerytalnych. Ofiary były następnie przekonywane do klikania w linki prowadzące do stron przestępców, aby pobrać profil MDM. Uspokajać nie powinien fakt, że działanie przestępców zostało wykryte tysiące km od Polski, ponieważ dla wirtualnych oszustów i grup cyberprzestępczych internet nie ma granic.
Tworzenie deep fake’ów
Po zainstalowaniu, GoldPickaxe nakłania ofiarę do nagrania wideo, udając, że jest to konieczne do weryfikacji. Nagranie jest następnie wykorzystywane jako materiał do tworzenia deep fake’ów za pomocą AI.
Samo fałszywe wideo nie wystarczyłoby jednak do oszukania systemów bezpieczeństwa banku. Złośliwe oprogramowanie żąda od ofiary również dokumentów tożsamości i przechwytuje SMS-y. W ten sposób przestępcy zbierają wszystkie niezbędne informacje od ofiary, aby uzyskać dostęp do jej aplikacji bankowej, a następnie z własnych urządzeń logować się na jej konta bankowe i wykradać środki.
Jak się chronić?
Przestępcy coraz sprawniej wykorzystują nowoczesne technologie do swoich celów. To jednak nie oznacza, że takie zagrożenia nie mogą być powstrzymane, wiele zależy od nas. Oto najważniejsze zasady bezpieczeństwa:
- Zawsze staraj się weryfikować informacje o przyznanych nagrodach, zniżkach i innych potencjalnych korzyściach finansowych. Jeśli coś wydaje się zbyt piękne, by było prawdziwe, prawdopodobnie tak właśnie jest.
- Korzystaj tylko z oficjalnych sklepów z aplikacjami.
- Nie daj się zwieść phishingowym stronom, naucz się je rozpoznawać sprawdzając czy posiadają certyfikat bezpieczeństwa i jego pochodzenie
- Używaj programów zabezpieczających zarówno na komputerze, jak i urządzeniach mobilnych.
- Po odkryciu złośliwej aplikacji usuń ją i uruchom ponownie telefon. W przypadku urządzeń z Androidem konieczne może być przywrócenie do ustawień fabrycznych.
- Używaj dwuskładnikowego uwierzytelniania wszędzie tam gdzie to możliwe
Pamiętaj, posiadanie jednej nawet bardzo zaawansowanej metody uwierzytelniania, nie gwarantuje bezpieczeństwa. Cyberprzestępcy są kreatywni i dlatego ważna jest wielowarstwowa ochrona.
Jak chronić firmę?
Jak dotąd, GoldPickaxe atakował tylko prywatnych użytkowników. Jednak podobne zagrożenia, wykorzystujące technologię rozpoznawania twarzy i AI, mogą być używane do atakowania działów finansowych firm lub menedżerów.
Miały już miejsce ataki z użyciem deepfake’ów przedstawiających członków najwyższego kierownictwa, które doprowadziły do ogromnych strat finansowych. Badanie przeprowadzone w 2023 roku przez BlackCloak i Ponemon Institute pokazuje, że coraz częściej celem zaawansowanych cyberataków, w tym podszywania się online, stają się korporacyjni menedżerowie najwyższego szczebla[4].
– Przede wszystkim należy regularnie szkolić pracowników. Wiedza i świadomość są często najlepszym rodzajem zabezpieczenia. Działania edukacyjne należy prowadzić stale i powtarzać kursy. Po pierwsze dlatego, że każdy z nas zapomina część tego, czego się nauczył i potrzebuje regularnego odświeżania wiedzy. Po drugie metody cyberprzestępców stale ewoluują, a tylko aktualna wiedza może nas uchronić – przekonuje Kamil Sadkowski.
[1] https://www.statista.com/statistics/1448883/preferred-security-authentication-methods-in-selected-countries/
[2] https://www.statista.com/statistics/1446265/top-solutions-to-replace-workplace-passwords-us/
[3] https://www.statista.com/statistics/1153970/worldwide-facial-recognition-revenue/
[4] https://blackcloak.io/news-media/blackcloak-ponemon-study-preliminary-2023/